aws-portal権限の廃止に伴う請求関連の権限の整理
投稿日: 2023/05/09
はじめに
こんにちは、高橋です。
2023年1月10日にaws-portal権限(一緒に「purchase-orders」権限も)が廃止され、既存の権限の強化と新規の権限がリリースされるという発表がAWS社からあったのをご存じでしょうか?
新しいアカウントについては既に新しい権限が、既存のアカウントについては7月6日に新しい権限に変更されるため、その際に混乱が発生するかと思いましたので、今回はこの権限変更に関する検証を行いましたので、その結果を紹介したいと思います。
1.情報の整理
これまでは「aws-portal」請求関連とAWSアカウント設定をいう広い範囲をカバーしていましたが、これがより細かい制御ができるように権限が以下のように4つの新しい権限と5つの機能強化された既存の権限に分割されています。
| 新旧 | 権限 | 役割 |
|---|---|---|
| 新 | consolidatedbilling | 一括請求機能へのアクセス制御 |
| 新 | freetier | 無料利用枠機能へのアクセス制御 |
| 新 | invoicing | 請求書等請求リソースへのアクセス制御 |
| 新 | payments | 支払い方法へのアクセス制御 |
| 既 | billing | AWS 請求コンソールの 請求機能 (ホーム、請求書、クレジット、請求設定) へのアクセス制御 |
| 既 | account | AWS Account Managementへのアクセス制御 |
| 既 | cur | CURの設定へのアクセス制御 |
| 既 | purchase-orders | 発注書 機能へのアクセス制御 |
| 既 | tax | 課税設定 へのアクセス制御 |
なお、上記権限に変更されるのは、以下の様な日程となっています。
| アカウント | いつから? |
|---|---|
| 3月6日以前に作成されたスタンドアローンアカウント | 7月6日から |
| 3月6日以降に作成されたスタンドアローンアカウント | 変更済み |
| 3月6日以前から存在する管理アカウント配下のアカウント | 7月6日から |
| 3月6日以降に管理アカウント配下のアカウント | 変更済み |
ということで、新規アカウントは今から、既存アカウントに関しては7月6日までに上記権限を用いて権限設定を行い、請求、アカウント設定回りの適切な操作ができるようにしておく必要があります。
2.請求情報だけを閲覧できるようにしてみた
今回分割された権限の範囲で実際に権限の割り当て行う場合、大きく分けると全てをできるユーザと請求情報のみを閲覧できるようユーザになると考えられます。全てをできるユーザは全部の権限を割り当てればいいので、ここでは請求情報のみを閲覧できるようユーザの権限の作成してみます。
表1を見ると下記の権限で請求情報の閲覧は可能な様に考えられます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"billing:*",
"invoicing:*",
"ce:*",
"account:GetAccountInformation",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
しかしながら、実際にこの権限で請求情報やCost Explorerを閲覧しようとしても表示されません。
いろいろ試してみたところ、請求書情報を表示するためには「invoicing」(請求書だから当然でしたね)と「account:GetAccountInformation」と「payments:ListPaymentPreferences」が必要であり、Cost Explorerの方時には「ce」が必要でした。なので、下記のポリシーであれば、請求書とCost Explorerという請求情報を閲覧することが可能です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"billing:*",
"invoicing:*",
"ce:*",
"account:GetAccountInformation",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
ただ、これだと請求設定やクレジットの適用などもできてしまいますので、純粋に閲覧のみ許可するのであれば、下記ポリシーで十分だと思います。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"billing:Get*",
"billing:ListBillingViews",
"invoicing:GetInvoiceEmailDeliveryPreferences",
"invoicing:GetInvoicePDF",
"invoicing:ListInvoiceSummaries",
"ce:*",
"account:GetAccountInformation",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
これから新規にアカウントを作成する場合はこちらの権限を参考にしてもらえればいいですし、既存のアカウントで請求情報の閲覧を許可している場合は、7月6日にあわてないようにこれらの権限を予め付与しておいてください。
3.Consolidated Billing環境での動作
スタンドアローン環境であれば、先程の権限設定を行っておけば、新規のアカウントは勿論、既存のアカウントでも7月6日を過ぎても従量の閲覧ができます。
では、Consolidated Billing環境ではどうなるのか見てみたいと思います。
こちらは3月6日以前に作成された管理アカウント配下に作成されたメンバーアカウントにて上が前章で作成した新しい権限のみ付与されたユーザの請求画面、下が旧来の権限(aws-portal)のみを付与したものとなります。
このように3月6日以前に作成された管理アカウント配下で今アカウントを作成しても、旧来の権限しか機能しないことが確認できます。
今度は3月6日以降に作成された管理アカウントで作成されたメンバーアカウントにて上が前章で作成した新しい権限のみ付与されたユーザの請求画面、下が旧来の権限(aws-portal)のみを付与したものとなります。
このように3月6日以降に作成された管理アカウント配下で今アカウントを作成した場合は、新しい権限しか機能しないことが確認できます。
次に3月6日以前に作成された管理アカウント配下に作成されたメンバーアカウントを3月6日以降に作成された管理アカウントに移動させた場合の結果となります。
このように3月6日以降に作成された管理アカウントに移動した場合は、移行後は古い請求用権限が無効になることが確認でき、新しい請求用権限を付与する必要がることが分かりました。
最後は3月6日以降に作成された管理アカウント配下に作成されたメンバーアカウントを3月6日以前に作成された管理アカウントに移動させた場合の結果となります。
こちらは逆に移行後は新しい請求用権限が無効になることが確認でき、古い請求用権限を付与する必要がることが分かりました。
このように、管理アカウント間でメンバーアカウントを移動させる場合は、管理アカウントの作成日によって必要となる請求用権限が異なるので注意が必要です。
4.さいごに
今回は請求に関する権限の調査を実施しました。新しく作成するスタンドアローンアカウントと3月6日以降に作成された管理アカウント配下にアカウントを作成する場合は、新しい権限を付与しておけば問題なさそうです。それに対して3月6日以前に作成された管理アカウントに所属するメンバーアカウントや古い請求用権限で動作するアカウントは7月6日に古い請求用権限が使えなくなり、請求情報が閲覧できなくなるので、それに備えて事前に新しい請求用権限を付与しておいてください。また、今回は試していませんが、Service Control Policy(SCP)に対してもaws-portal/新しい請求用権限は適用されるので、SCPを利用している場合も7月6日までに対応しておく必要があります。
CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。
クラウドエコシステム100 for AWS
ビジネス要求の高い機能を「すぐに使える」 ソリューションパッケージとしてご提供します!
-
基幹システム
移行 -
遠隔地
バックアップ -
災害対策(DR)
-
セキュリティ
-
リモートワーク
-
デジタル
マーケティング -
コンタクト
センター -
マルチCDN
-
コスト管理
-
統合システム
運用管理
